it-swarm-eu.dev

"Non sicuro" significa HTTP?

Lavoro per un'azienda e ci viene data una specie di sistema di accesso dei dipendenti il ​​cui URL va così nell'immagine qui sotto. (Siamo spiacenti, non posso rivelare l'URL completo.)

Not Secure

Pensavo che "Not Secure" avesse a che fare con i certificati SSL o qualcosa del genere, ma dopo aver cliccato "visualizza informazioni sul sito" , ho ottenuto questo:

enter image description here

Ho bloccato manualmente Flash, ma non so cosa sia possibile fare con i cookie e, se possibile, non potrei correre il rischio di farlo su un sito Web aziendale.

Ho in mente alcune domande:

  1. Cosa significa esattamente "Non sicuro"? Vuol dire che è un sito Web "solo HTTP"?

  2. Quali sono tutti i possibili motivi per cui un sito è "Non sicuro"?

  3. È corretto disporre di un sito di accesso all'account "Non sicuro"?

  4. I cookie hanno qualcosa a che fare con un sito non sicuro?

  5. Quali sono i modi possibili per rendere sicuro questo sito e come posso informare i responsabili di renderlo sicuro?

33
C0deDaedalus

Cosa significa esattamente Not Secure? Significa solo sito Web HTTP?

"Not secure" in Chrome significa che il sito non utilizza HTTPS.

Quali sono tutti i possibili motivi per cui il sito non è sicuro?

Per ottenere l'errore esatto sopra, è solo quando un sito non utilizza HTTPS. Tuttavia, è possibile ottenere un errore analogo non sicuro se il certificato del sito non è valido o se non è presente HTTPS sull'intera pagina.

È corretto avere un sito di accesso all'account come Not Secure?

No, non va bene: se qualcuno può intercettare una richiesta di accesso, può vedere le credenziali di accesso dell'utente. IBBoard ha fatto un buon punto nei commenti - avere un sito di accesso senza HTTPS che si trova sulla rete aziendale interna non è così pericoloso come è un sito pubblico a cui è possibile accedere dal PC di casa. Non è ancora sicuro, ma le uniche persone che possono davvero MiTM la connessione sono gli amministratori di sistema dell'azienda ( supponendo che la rete sia configurata correttamente ).

I cookie hanno qualcosa da fare riguardo al sito come non sicuro?

Se il sito non utilizza HTTPS, ciò significa che i cookie vengono inviati in chiaro. Ciò potrebbe causare problemi quando i cookie contengono dati sensibili come i token, che possono portare al dirottamento della sessione.

Quali sono i modi possibili per rendere questo sito sicuro e come posso informare i responsabili di renderlo sicuro?

Utilizzando HTTPS con un certificato valido, Chrome contrassegnerà il sito come "Sicuro". Tuttavia, come indicato da Ed , anche un sito Web con un certificato valido può essere non sicuro se serve anche contenuto non sicuro come immagini HTTP. Il contenuto misto (Avere elementi HTTP nelle pagine HTTPS) è considerato non sicuro. Se sei preoccupato per la sicurezza di questo sito di accesso, esprimerei le tue preoccupazioni al reparto IT e vedere cosa possono fare al riguardo.

50
Joe

Non è sicuro significa HTTP

Sì, al momento ci sono regole su quali siti che utilizzano http mostreranno come non sicuri, che sono disponibili qui .

Perché questo sito non dovrebbe essere protetto?

Ci sono 2 opzioni principali:

  • ha un input per la password
  • ha un input per la carta di credito
6
jrtapsell

Per essere precisi: "Insicuro" si riferisce alla tua connessione al server, non necessariamente al server stesso. È possibile che un server offra connessioni http e https. Idealmente, reindirizzerebbe quindi qualsiasi accesso http a https. In caso contrario, è necessario specificare esplicitamente il protocollo https: nell'URL. Parla con il tuo amministratore di sistema in questo caso.

4
Renardo